我刚刚设置了我的 BIND9 服务器,到目前为止运行良好。我决定将一个小技巧集成到我的 DNS 功能中。我希望它通过我的 ISP 的 DNS 服务器解析符合 IANA 标准的域名,如 *.com 和 *.net,但我还想通过使用 OpenNIC-DNS 服务器作为转发器来集成 OpenNIC 域名,如 .geek 和 .project。因此,我的转发器部分基本上如下所示:
forwarders {
IP.OF.ISP.DNS;
IP.OF.OPENNIC.DNS;
}
尽管 OpenNIC-DNS 能够解析 IANA 域名,但我不想信任它们,因为劫持 paypal.com 或 ebay.com 等重要域名实在是太容易了。Bind9 是逐步(从第一个 IP 到最后一个 IP)请求转发器的记录,还是随意请求?我想确保我的 ISP 的 DNS 在解析域名时具有最高优先级。
有什么方法可以直接在我的 DNS 服务器上“调试”DNS 查询以查看它使用哪个服务器来查找请求的域?
答案1
我之前查过这个,但目前找不到比这更好的方法:https://lists.isc.org/pipermail/bind-users/2012-April/087455.html
BIND8 及以后的版本认为每个转发器都以“相等权重”开始。根据响应的 SRTT,名称服务器开始偏向其中一个。一定比例的查询将始终命中延迟较高的查询,以重新测试水位并保持计算出的权重偏好公平。(请记住,一旦记录被缓存,在 TTL 过期之前,不会再次查询转发器)
简而言之,货运代理指令的设计具有冗余性和尽量减少延迟——而不是在主动-备用故障转移模型中。这不会按照您的意愿进行,而且我不知道有任何 BIND 指令可以重新配置此行为。我最终在工作中盯着 BIND 文档看了好一会儿,所以我对这个说法很有信心。